Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware ZynorRAT-malware

ZynorRAT-malware

Tegen Mezo in Malware, Hulpmiddelen voor extern beheer
Vertalen naar:

Cybersecurityonderzoekers hebben een nieuwe malwarefamilie geïdentificeerd, bestaande uit een Go-gecompileerde remote access trojan (RAT), genaamd ZynorRAT. De implementatie richt zich op zowel Linux- als Windows-hosts, wordt beheerd via een Telegram-bot en verscheen – op basis van beschikbaar bewijs – voor het eerst op 8 juli 2025. Analisten melden geen code- of gedragsoverlap met eerder gecatalogiseerde families, wat wijst op een nieuwe implementatie in plaats van een variant van een bestaande toolset.

Technisch profiel - taal, build en platformonafhankelijke notities

ZynorRAT is geïmplementeerd in Go, waardoor één codebase binaire bestanden kan produceren voor meerdere OS-doelen. De Linux-build is rijk aan functies en biedt een breed scala aan mogelijkheden voor verkenning, gegevensverzameling en beheer op afstand. Er is ook een Windows-build waargenomen die functioneel vergelijkbaar lijkt met de Linux-variant; deze maakt echter nog steeds gebruik van persistentietechnieken in Linux-stijl (systemd-services), wat impliceert dat het Windows-artefact mogelijk onvolledig is of in actieve ontwikkeling is.

Mogelijkheden - wat de malware kan doen

De primaire missie van de malware is het verzamelen, exfiltreren en op afstand benaderen van malware. Command-and-Control (C2) wordt afgehandeld via een Telegram-bot (geïdentificeerd als @lraterrorsbot, ook wel 'lrat' genoemd). Na implementatie ontvangt ZynorRAT verdere instructies van die bot en voert het taken lokaal uit op de host van het slachtoffer. Belangrijke Linux-functies zijn onder andere het doorzoeken en exfiltreren van bestanden, systeemprofilering, het weergeven en beëindigen van processen, het maken van screenshots, het uitvoeren van willekeurige opdrachten en persistentie via systemd.

Waargenomen opdracht-eindpunten (zoals geïmplementeerd in de Linux-build):

  • /fs_list — mappen opsommen
  • /fs_get — bestanden van de host exfiltreren
  • /metrics — systeemprofilering uitvoeren
  • /proc_list — voer het equivalent van ps uit om processen op te sommen
  • /proc_kill — beëindig een proces op basis van PID
  • /capture_display — maak screenshots van het scherm
  • /persist — persistentie instellen (systemd-service)

Command-and-control en distributie – hoe de operator het uitvoert en verspreidt

Telegram is het C2-kanaal van ZynorRAT: de malware meldt zich bij de @lraterrorsbot-bot en ontvangt opdrachten via dat medium. Screenshots en andere artefacten die via de Telegram-bot worden gedeeld, tonen aan dat payloads worden verspreid via een bestandsuitwisselingsservice genaamd Dosya.co. Analyse van deze screenshots wijst erop dat de auteur mogelijk machines die zij beheren heeft gebruikt om de functionaliteit te testen of te valideren (zelfinfectie). Het gebruik van een openbaar berichtenplatform zoals Telegram als C2 biedt de operator gebruiksgemak en een zekere mate van operationele flexibiliteit, maar creëert ook duidelijke indicatoren (bot-handle, ongebruikelijk Telegram-verkeer) waar verdedigers op kunnen jagen.

Toeschrijving en tijdlijn – wat we redelijkerwijs kunnen afleiden

Bewijs wijst op activiteit vanaf 8 juli 2025. Taalartefacten in de chats van de bot en andere teruggevonden tekst suggereren dat de operator Turks is of op zijn minst Turkstalige bronnen gebruikt. De huidige analyse wijst op een enkele, waarschijnlijk eenzame actor in plaats van een gezamenlijke ontwikkelingsinspanning. Toeschrijving aan een persoon of natie is echter nog steeds voorzichtig in afwachting van verdere bevestiging.

Waarom dit belangrijk is – trends in nieuwigheid en malware-ontwikkeling

Hoewel RAT's veel voorkomen, valt ZynorRAT op omdat het een cleanroom-implementatie lijkt te zijn (geen overlappingen met bekende families) die geautomatiseerde, gecentraliseerde besturingen via Telegram implementeert. De cross-platform ambities en het gebruik van Go onderstrepen de trend van relatief kleine operators die snel capabele multi-OS-tools produceren. De verfijning in een vroeg stadium laat zien hoe snel nieuwe RAT's kunnen ontstaan en in gebruik kunnen worden genomen.

Afsluitende beoordeling

ZynorRAT is een hedendaags voorbeeld van een lichtgewicht maar capabele RAT, gebouwd voor platformonafhankelijke implementatie en beheerd via een kant-en-klare berichtenservice. De ontdekking onderstreept dat zelfs individuele operators snel flexibele tools voor toegang op afstand kunnen ontwikkelen met behulp van moderne programmeertalen zoals Go. Organisaties zouden Telegram-gebaseerde C2 en onverwacht gebruik van consumentendiensten voor bestandsdeling moeten beschouwen als zoekitems met hoge prioriteit, de servicecreatie op endpoints moeten beveiligen en de hierboven genoemde mitigatiemaatregelen moeten toepassen om de blootstelling te verminderen.

Trending

Meest bekeken

Bezig met laden...